Datenschutz und Verschlüsselung - Amazon Simple Storage Service
Server-side encryptionVerschlüsselung während der ÜbertragungLöschen von Daten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz und Verschlüsselung

Weitere Informationen zur Konfiguration der Verschlüsselung für Verzeichnis-Buckets finden Sie in den folgenden Themen.

Themen

Server-side encryption

Für alle Amazon-S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert und alle neuen Objekte, die in einen S3-Bucket hochgeladen werden, werden im Ruhezustand automatisch verschlüsselt. Die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) ist die Standardverschlüsselungskonfiguration für jeden Bucket in Amazon S3. Wenn Sie einen anderen Verschlüsselungstyp angeben möchten, können Sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verwenden, indem Sie die Standardverschlüsselungskonfiguration des Buckets festlegen. Weitere Informationen zu SSE-KMS in Verzeichnis-Buckets finden Sie unter Verwendung der serverseitigen Verschlüsselung mit Schlüsseln (SSE-KMS) in Verzeichnis-Buckets AWS KMS.

Wir empfehlen, dass die Standardverschlüsselung des Buckets die gewünschte Verschlüsselungskonfiguration verwendet und dass Sie die Standardverschlüsselung des Buckets in Ihren CreateSession-Anforderungen oder PUT-Objektanforderungen nicht überschreiben. Anschließend werden neue Objekte automatisch mit den gewünschten Verschlüsselungseinstellungen verschlüsselt. Weitere Informationen zum Verhalten beim Überschreiben der Verschlüsselung in Verzeichnis-Buckets finden Sie unter Serverseitige Verschlüsselung mit für neue Objekt-Uploads angeben. AWS KMS

SSE-KMS mit Verzeichnis-Buckets unterscheidet sich von SSE-KMS in Allzweck-Buckets in den folgenden Aspekten.

  • Ihre SSE-KMS-Konfiguration kann für die gesamte Lebensdauer des Buckets nur einen vom Kunden verwalteten Schlüssel pro Verzeichnis-Bucket unterstützen. Die Von AWS verwalteter Schlüssel(aws/s3) wird nicht unterstützt. Nachdem Sie einen vom Kunden verwalteten Schlüssel für SSE-KMS angegeben haben, können Sie den vom Kunden verwalteten Schlüssel für die SSE-KMS-Konfiguration des Buckets nicht mehr überschreiben.

    Sie können den vom Kunden verwalteten Schlüssel, den Sie für die SSE-KMS-Konfiguration des Buckets angegeben haben, wie folgt identifizieren:

    • Sie stellen eine HeadObject API-Operationsanforderung, um den Wert von x-amz-server-side-encryption-aws-kms-key-id in Ihrer Antwort zu ermitteln.

    Um einen neuen, vom Kunden verwalteten Schlüssel für Ihre Daten zu verwenden, empfehlen wir, Ihre vorhandenen Objekte mit einem neuen vom Kunden verwalteten Schlüssel in einen neuen Verzeichnis-Bucket zu kopieren.

  • Bei API-Vorgängen an zonalen Endpunkten (Objektebene) mit Ausnahme von CopyObjectund UploadPartCopyauthentifizieren und autorisieren Sie Anfragen mit geringer Latenz. CreateSession Wir empfehlen, dass die Standardverschlüsselung des Buckets die gewünschte Verschlüsselungskonfiguration verwendet und dass Sie die Standardverschlüsselung des Buckets in Ihren CreateSession-Anforderungen oder PUT-Objektanforderungen nicht überschreiben. Anschließend werden neue Objekte automatisch mit den gewünschten Verschlüsselungseinstellungen verschlüsselt. Um neue Objekte in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (also einem vom Kunden verwalteten Schlüssel) angeben. Wenn dann eine Sitzung für API-Operationen an zonalen Endpunkten erstellt wird, werden neue Objekte während der Sitzung automatisch mit SSE-KMS- und S3-Bucket -Schlüsseln ver- und entschlüsselt. Weitere Informationen zum Verhalten, das die Verschlüsselung in Verzeichnis-Buckets außer Kraft setzt, finden Sie unter Serverseitige Verschlüsselung für Uploads neuer Objekte angeben. AWS KMS

    Bei API-Aufrufen für zonale Endpunkte (außer CopyObjectund UploadPartCopy) können Sie die Werte der Verschlüsselungseinstellungen (x-amz-server-side-encryption, x-amz-server-side-encryption-aws-kms-key-idx-amz-server-side-encryption-context, undx-amz-server-side-encryption-bucket-key-enabled) aus der Anfrage nicht überschreiben. CreateSession Sie müssen diese Werte für die Verschlüsselungseinstellungen nicht explizit in API-Aufrufen für zonale Endpunkte angeben. Amazon S3 verwendet die Werte der Verschlüsselungseinstellungen aus der CreateSession-Anforderung, um neue Objekte im Verzeichnis-Bucket zu schützen.

    Anmerkung

    Wenn Sie das AWS CLI oder das AWS SDKs, für verwenden, wird das Sitzungstoken automatisch aktualisiertCreateSession, um Dienstunterbrechungen zu vermeiden, wenn eine Sitzung abläuft. Das AWS CLI oder sie AWS SDKs verwenden die Standardverschlüsselungskonfiguration des Buckets für die CreateSession Anfrage. Das Überschreiben der Werte der Verschlüsselungseinstellungen in der CreateSession-Anforderung wird nicht unterstützt. Außerdem wird es in API-Aufrufen für zonale Endpunkte (außer CopyObjectund UploadPartCopy) nicht unterstützt, die Werte der Verschlüsselungseinstellungen aus der CreateSession Anfrage zu überschreiben.

  • Um neue Objektkopien in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (insbesondere einem vom Kunden verwalteten Schlüssel) angeben. CopyObject Wenn Sie dann serverseitige Verschlüsselungseinstellungen für neue Objektkopien mit SSE-KMS angeben, müssen Sie sicherstellen, dass der Verschlüsselungsschlüssel derselbe vom Kunden verwaltete Schlüssel ist, den Sie für die Standardverschlüsselungskonfiguration des Verzeichnis-Buckets angegeben haben. Um neue Objektteilkopien in einem Verzeichnis-Bucket mit SSE-KMS zu verschlüsseln, müssen Sie SSE-KMS als Standardverschlüsselungskonfiguration des Verzeichnis-Buckets mit einem KMS-Schlüssel (insbesondere einem vom Kunden verwalteten Schlüssel) angeben. UploadPartCopy Sie können keine serverseitigen Verschlüsselungseinstellungen für neue Objektteilkopien mit SSE-KMS in den Anforderungsheadern angeben. UploadPartCopy Außerdem müssen die Verschlüsselungseinstellungen, die Sie in der CreateMultipartUploadAnfrage angeben, mit der Standardverschlüsselungskonfiguration des Ziel-Buckets übereinstimmen.

  • S3 Bucket Keys sind immer für GET- und PUT-Vorgänge in einem Verzeichnis-Bucket aktiviert und können nicht deaktiviert werden. S3-Bucket-Keys werden nicht unterstützt, wenn Sie SSE-KMS-verschlüsselte Objekte von Allzweck-Buckets in Verzeichnis-Buckets, von Verzeichnis-Buckets in Allzweck-Buckets oder zwischen Verzeichnis-Buckets kopieren CopyObject, UploadPartCopy, der Copy Operation in Batch-Operationen, oder die import Jobs. In diesem Fall ruft Amazon S3 AWS KMS jedes Mal, wenn eine Kopieranforderung für ein KMS-verschlüsseltes Objekt gestellt wird, auf.

  • Wenn Sie einen vom Kunden verwalteten AWS KMS -Schlüssel für die Verschlüsselung in Ihrem Verzeichnis-Bucket angeben, verwenden Sie nur die Schlüssel-ID oder den Schlüssel-ARN. Das Schlüsselaliasformat des KMS-Schlüssels wird nicht unterstützt.

Directory-Buckets unterstützen keine duale serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (DSSE-KMS) oder serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C).

Verschlüsselung während der Übertragung

Verzeichnis-Buckets verwenden regionale und zonale API-Endpunkte. Je nachdem, welche Amazon-S3-API-Operation Sie verwenden, ist entweder ein regionaler oder ein zonaler Endpunkt erforderlich. Sie können über einen Gateway Virtual Private Cloud (VPC)-Endpunkt auf zonale und regionale Endpunkte zugreifen. Für die Nutzung von Gateway-Endpunkten fallen keine zusätzlichen Gebühren an. Weitere Informationen zu regionalen und zonalen API-Endpunkten finden Sie unter Netzwerke für Verzeichnis-Buckets.

Löschen von Daten

Sie können ein oder mehrere Objekte direkt aus Ihren Verzeichnis-Buckets löschen, indem Sie die Amazon S3 S3-Konsole, AWS SDKs, AWS Command Line Interface (AWS CLI) oder die Amazon S3 S3-REST-API verwenden. Für alle Objekte in Ihrem S3-Bucket entstehen Speicherkosten, deshalb sollten Sie Objekte löschen, die Sie nicht mehr benötigen.

Beim Löschen eines Objekts, das in einem Verzeichnis-Bucket gespeichert ist, werden auch alle übergeordneten Verzeichnisse rekursiv gelöscht, sofern diese übergeordneten Verzeichnisse keine anderen Objekte als das Objekt enthalten, das gelöscht wird.

Anmerkung

Das Löschen mit Multi-Faktor-Authentifizierung (MFA) und S3 Versioning werden für S3 Express One Zone nicht unterstützt.